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摘要 


网 约 车 平台 中 ， 订 单 分 配 算法 作为 其 提供 服务 的 基础 设施 扎 合 司机 与 乘客 ， 直接 有 影响 司机 与 乘客 
的 权益 与 出 行 体验 , 如 何 检 验 和 确保 订单 分 配 算法 的 公平 性 对 网 约 车 平台 良 序 运营 、 保障 司 乘 两 方 权 
益 是 一 个 至 关 重要 的 话题 。 本 研究 提出 一 个 非 侵入 式 的 网 约 车 订单 分 配 算法 的 公平 性 检验 方法 ,无 需 
深入 算法 细节 ， 只 需 利 用 订单 分 配 的 场景 信息 和 分 配 结果 便 能 进行 算法 公平 性 检验 , 大 幅 降 低 计算 成 
本 ， 并 能 保护 企业 机 密 及 用 户 隐私 。 本 研究 提出 的 方法 首先 通过 统计 建 模 随 机 性 以 刻画 算法 公平 性 ， 
并 利用 假设 检验 方法 验证 算法 公平 性 , 最 后 利用 零 知 识 证 明 技术 构建 非 接触 式 的 信任 。 研究 中 利用 滴 
滴 出 行 数据 就 接轨 距离 验证 了 算法 公平 性 ,该 实验 验证 了 本 方法 的 可 行 性 及 有 效 性 , 并 展示 了 此 框架 
用 于 更 大 规模 、 更 完整 的 算法 公平 性 检验 的 潜力 。 


1 3 引言 


现今 社会 中 存在 大 量 算法 , 这 些 算法 由 平台 企业 开发 , 是 平台 向 公众 提供 各 种 服务 的 基础 , 因 
此 这 些 算法 会 对 人 们 生活 中 如 收入 、 福利 等 各 个 方面 造成 直接 的 影响 从 而 , 这 些 算法 的 公平 、 透 
明 、 合 理性 都 日 渐 受 到 监管 者 及 公众 的 重视 。 特 别 的 ， 网 约 车 订单 分 配 是 平台 算法 的 一 个 重要 场 
景 ， 订 单 分 配 算法 直接 影响 了 司机 的 收入 和 乘客 的 福利 。 因 此 订单 分 配 算法 公平 性 的 重要 性 不 言 
而 喻 ， 也 是 众多 研究 关注 的 方向 。 但 是 如 何 使 监管 者 及 公众 相信 算法 的 公平 性 仍 是 一 个 挑战 。 

在 特定 场景 下 ， 算 法 可 以 通过 开源 等 手段 实现 透明 、 公 开 ， 从 而 构建 信任 。 然 而 ， 在 更 多 场 
景 下 ， 算 法 可 能 涉及 平台 的 商业 机 密 、 数 据 涉及 用 户 隐私 ， 均 不 能 直接 公开 。 在 此 类 场景 下 ， 密 
码 技术 是 构建 可 信 算 法 的 传统 方法 之 一 ， 但 是 将 算法 计算 过 程 逐 步 转 为 密 文 计算 虽然 能 够 保证 结 
果 可 信 ， 但 是 将 引申 出 巨大 的 时 间 及 计算 成 本 。 这 造成 了 平台 算法 的 信任 困境 。 

为 此 ， 本 文 提出 了 基于 统计 的 算法 公平 性 检验 方法 ， 引 入 基于 密码 学 的 可 信和 监管 机 器 人 扮演 
公平 第 三 方 ， 帮 助 企 业 和 监管 者 与 公众 建立 信任 。 具 体 而 言 ， 我 们 从 统计 学 的 角度 利用 随机 性 建 
模 公 平 性 ， 并 利用 假设 检验 方法 检验 算法 的 公平 性 ， 大 幅 降 低 计 算 成 本 。 同 时 引入 可 信 监 管 机 器 
人 作为 第 三 方 ， 利 用 加 蜜 承诺 及 零 知 识 证 明 技术 实现 监管 者 与 企业 之 间 非 接触 式 的 检验 方法 ， 让 
监管 者 可 以 在 不 用 深入 算法 细节 、 不 用 见 到 真实 数据 的 前 提 下 完成 可 信 的 算法 公平 性 检验 。 

本 文 后 续 组 织 如 下 : 第 二 章 梳理 了 相关 文献 和 工作 ， 第 三 章 介绍 非 侵入 式 的 算法 公平 性 检验 
理论 ， 第 四 章 展示 了 非 侵入 式 的 算法 公平 性 检验 方法 ， 第 五 章 呈 现 了 一 个 实际 的 案例 ， 第 六 章 为 


结论 。 
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2 文献 
算法 的 公平 性 是 算法 可 信 中 重要 的 一 个 维度 。Toreini 等 人 [11] 将 社会 科学 中 的 信任 概念 建 
模 为 计算 机 学 科 中 的 公平 性 、 可 解释 性 、 可 审计 性 以 及 安全 ， 并 提出 了 完整 的 算法 可 信 框 架 。 此 
外 ， 也 有 大 量 探讨 算法 可 信 的 文献 中 都 谈 及 了 公平 性 [1][10]。 

现 有 的 算法 公平 方面 的 研究 通常 假定 度量 公平 性 的 计算 是 由 对 数据 具有 完全 访问 权限 的 一 方 
在 本 地 完成 的 [3 由 [4 ， 基 于 分 布 式 协议 的 算法 中 也 以 公平 性 为 目标 之 一 [16]。 然 而 ， 这 两 类 方 
法 对 公平 性 都 缺乏 可 验证 性 ， 因 此 不 能 保证 算法 可 信 。 在 特定 场景 中 ， 具 有 可 解释 性 的 算法 可 以 
通过 透明 的 设计 而 实现 算法 可 信 [15][5][7]， 但 是 这 类 方法 只 适用 于 特定 的 模型 和 场景 ， 因 此 无 法 
推广 。 此 外 ， 算 法 和 数据 在 现实 中 是 公司 的 重要 资产 ， 因 此 黑 盒 审计 [5] 是 进行 公平 性 检验 的 另 
一 种 方法 。 但 是 目前 仍 缺乏 成 熟 的 黑 盒 检验 技术 。 

“公平 性 验证 服务 ”的 概念 以 前 已 经 被 提出 , 例如 在 [13] 中 。 作 者 们 提出 了 一 个 框架 , 其 中 包 
含 一 个 可 信 第 三 方 作 为 算法 公平 性 的 担保 人 ， 负 责 进 行 公平 性 验证 的 计算 ， 在 这 个 框架 中 ， 所 有 
利益 做 关 方 都 必须 信任 这 个 担保 人 。 特 别 地 ， 算 法 开发 者 必须 将 算法 结果 、 敏 感 输入 数据 甚至 模 
型 的 内 部 参数 发 送 给 担保 人 。 这 要 求 算法 开发 者 相信 担保 人 不 会 滥用 这 些 信 息 ， 这 个 条 件 使 得 这 
个 方法 的 实际 应 用 受 限 。 

为 了 解决 这 些 限制 ， 学 者 们 开始 在 这 类 系统 中 引入 加 密 技术 ,例如 Kilbertdus 等 人 [6] 提出 
了 一 个 名 为 “blind justice” 的 系统 ， 利 用 多 方 安全 计算 协议 , 使 用 户 (数据 所 有 者 )、 模 型 (算法 
所 有 者 ) 和 监管 者 (验证 公平 性 者 ) 合作 ， 使 用 联邦 学 习 方 法 [15] 进行 公平 的 训练 。 由 于 这 个 方 
法 对 模型 训练 的 过 程 进行 加 密 ， 因 此 它 依赖 于 模型 和 算法 。Segal 等 人 [9] 同样 利用 了 加 密 技 术 进 
行 公平 性 的 计算 于 验证 。Toreini 等 人 [12] 则 提出 了 利用 零 知识 证 明 的 公平 性 验证 服务 框架 。 而 
Park 等 人 [8] 为 公平 性 计算 提出 了 一 个 可 信和 执行 环境 (TEE) 。 利 用 密码 学 上 安全 的 特殊 硬件 组 
件 ， 确 保 代码 的 正确 执行 。 


3 非 侵 入 式 的 算法 公平 性 检验 理论 


网 约 车 平台 中 , 订单 分 配 算 法 作为 其 提供 服务 的 基础 设施 , 气 合 司机 与 乘客 , 其 中 , 司机 服务 
算法 指派 的 订单 从 而 获得 收益 ， 而 乘客 享受 服务 的 质量 如 等 待 时 间 等 也 取决 于 订单 分 配 算法 所 指 
派 的 司机 。 过 程 中 , 订单 分 配 算法 会 影响 司机 与 乘客 的 权益 , 因此 算法 的 公平 性 至 关 重 要 。 在 传统 
的 场景 中 ， 对 于 复杂 度 低 的 规则 我 们 可 以 通过 侵入 式 ， 即 评估 及 验证 规则 本 身 以 验证 公平 性 ， 但 
是 对 于 基于 算法 建立 的 复杂 规则 ， 如 网 约 车 订单 分 配 算法 ， 侵 入 式 的 检验 复杂 度 极 高 ， 将 带 来 高 
昂 的 时 间 及 计算 成 本 ， 且 侵入 式 的 检验 需要 利用 的 算法 和 数据 可 能 涉及 商业 机 密 和 用 户 隐私 。 为 
此 ， 本 研究 提出 一 个 非 侵 入 式 的 网 约 车 订单 分 配 算 法 的 公平 性 检验 方法 ， 无 需 深 入 算法 细节 ， 只 
需 利用 订单 分 配 的 场景 信息 和 订单 分 配 结果 便 能 进行 算法 公平 性 检验 ， 大 幅 降 低 计 算 成 本 ， 并 能 
保护 企业 机 密 及 用 户 隐 私 。 

然而 ， 非 侵入 式 的 算法 不 直接 接触 订单 分 配 算法 与 数据 ， 因 此 需要 相应 技术 以 保障 用 以 检验 
的 数据 、 计 算 过 程 与 结果 没有 造假 。 为 此 ， 非 侵入 式 公 平 性 检验 方法 中 引入 了 可 信 监 管 机 器 人 作 
为 公正 第 三 方 ， 利 用 非 对 称 加 密 技 术 实 现 数据 的 可 算 不 可 见 、 透 明 但 不 公开 ， 帮助 监 管 者 与 平台 
企业 构建 非 接触 式 信任 。 

本 节 包 含 算法 公平 性 检验 的 理论 以 及 利用 非 对 称 加 密 工 具 建 立 非 接触 式 信任 的 监管 机 器 人 的 
理论 。 


3.1 订单 分 配 算法 的 公平 性 检验 


在 网 约 车 订单 分 配 算法 中 ， 订 单 分 配 是 在 给 定时 间 的 乘客 订单 和 司机 信息 下 将 订单 指派 给 司 
ee ee Et 
一 个 订单 分 配 是 由 乘客 订单 到 司机 之 间 的 一 个 双 射 /， 对 于 一 个 乘客 订单 P, 若 f(P) = C; 则 
表示 司机 C 负责 接送 订单 P 的 乘客 。 其中， 0,, D: 分 别 代表 乘客 订单 的 起 始点 和 目的 终点 ， 
而 T; 则 是 乘客 订单 P, 的 出 发 时 间 。 

为 了 检验 算法 的 公平 性 ， 侵 入 式 的 检验 是 直接 评估 算法 的 优化 目标 并 验证 其 计算 过 程 ， 然 而 
多 数 情况 下 算法 是 平台 的 商业 机 密 ， 且 逐步 检查 算法 的 计算 会 带 来 巨大 的 成 本 。 此 外 ， 逐 步 检查 
的 做 法 依赖 于 具体 算法 ， 即 检验 不 同 的 算法 时 ， 相 应 的 计算 过 程 也 会 随 之 变化 ， 因 此 这 样 的 检验 
方法 不 具有 好 的 通用 性 。 相 比 而 言 ， 非 侵入 式 检验 方法 基于 一 个 基本 思想 : 公平 的 算法 不 应 该 系 
统 性 的 置 特定 司机 或 用 户 于 不 利 。 由 于 算法 给 出 的 每 次 订单 分 配 结果 本 身 具 有 随机 性 -每 次 订单 分 
配 中 , 不 同 司机 的 接 单 距离 及 等 待 时 间 等 指标 必定 存在 差异 , 从 而 可 能 对 司机 的 收益 造成 影响 。 因 
此 ， 非 侵入 式 检验 方法 通过 研究 算法 衍生 出 的 随机 性 以 检验 算法 的 公平 性 。 

本 节 首 先 对 订单 分 配 算 法 的 公平 性 进行 刻画 ， 具 体 而 言 ， 本 节 从 统计 学 的 视角 利用 算法 的 随 
机 性 进行 建 模 ， 并 论证 在 此 之 上 进行 公平 性 检验 的 可 行 性 。 其 次 ， 本 节 探 讨 了 实际 上 统计 推断 的 
可 检验 性 及 可 检验 的 条 件 。 


3.1.1 ”调度 算法 的 公平 性 理论 


本 节 着 重 讨论 订单 分 配 算法 的 公平 性 与 随机 性 的 关系 。 在 此 之 前 ， 首 先 探讨 订单 分 配 算 法 影 
响 司 机 收益 的 机 制 : 订单 分 配 算法 在 每 次 订单 分 配 中 会 直接 决定 司机 的 接 单 距离 、 等 待 时 长 等 因 
素 ， 这 些 订单 分 配 算法 可 控 的 因素 和 其 他 如 司机 出 车 时 间 、 出 车 区 域 等 订单 分 配 算 法 不 可 控 因素 
将 共同 决定 司机 的 收入 。 本 节 假 设 所 有 算法 不 可 控 的 因素 一 致 ， 在 此 前 提 下 讨论 公平 性 和 随机 性 
的 关系 。 

任何 算法 在 每 次 给 出 的 订单 分 配 中 , 每 个 司机 的 接 单 距离 及 等 待 时 间 等 指标 都 必然 存在 差异 ， 
因为 在 一 次 订单 分 配 中 无 法 保证 每 个 司机 的 接 单 距离 、 等 待 时 间 等 因素 均 完 全 一 致 ， 这 便 是 算法 
的 随机 性 。 因 此 算法 的 公平 性 不 应 该 按 每 次 订单 分 配 评估 , 而 应 该 考虑 一 段 时 间 内 的 长 期 效应 , 即 
一 个 公平 的 算法 不 应 该 影响 司机 长 期 的 收入 机 会 。 具 体 而 言 ， 对 一 个 订单 分 配 f/， 记 司机 Ci 在 
这 个 订单 分 配 下 的 收益 为 ri(f)。 对 司机 C1 和 Co 而 言 ， 即 使 一 个 公平 的 算法 可 能 在 某 此 订单 分 
Bc f 中 使 两 个 司机 的 收益 71(f) 和 72(f) 相差 较 大 ， 但 是 长 期 而 言 ， 公 平 的 算法 在 多 次 订单 分 配 
fis fay fa, 中 则 应 该 使 得 这 两 个 司机 收益 的 期 望 接 近 ， 即 EOC, ri (fi) — BOL, re(fi))| e, 其 
中 e 是 一 个 较 小 的 数 。 

更 严格 地 ， 上 述 性 质 的 一 个 充分 条 件 是 体现 在 订单 分 配 算法 可 控 的 因素 上 的 随机 性 对 不 同 司 
机 而 言 是 同 分 布 的 。 这 意味 着 每 个 司机 在 每 次 订单 分 配 中 接 单 距离 、 等 待 时 间 等 影响 收入 的 因素 
均 服从 相同 的 分 布 , 实际 的 差异 是 由 纯粹 的 随机 性 造成 的 , 并 非 算法 系统 地 置 某 个 司机 于 不 利 , 而 
算法 的 公平 性 是 “机 会 公平 ”的 。 因 此 ， 非 侵入 式 算 法 公平 性 检验 便 通过 检验 算法 可 控 因 素 的 随 
机 性 是 同 分 布 的 以 验证 算法 的 公平 性 。 

为 了 进一步 体现 订单 分 配 算法 的 随机 性 ， 本 节 给 出 一 个 简单 的 线性 模型 上 严格 的 理论 推导 : 

考虑 单一 一 个 直线 道路 上 及 个 完全 相同 的 司机 与 六 个 乘客 ,他 们 的 位 置 是 独立 的 均匀 分 
布 在 道路 上 。 下 面 通过 理论 建 模 并 推导 出 最 小 距离 订单 分 配 算 法 下 的 随机 性 。 其 中 ， 最 小 距离 订 
单 分 配 算法 会 选择 使 得 所 有 司机 去 接 乘客 的 总 距离 最 短 的 一 个 订单 分 配 。 特 别 地 ， 在 单一 直线 道 
路 上 ， 对 所 有 1 < k < N， 最 小 距离 订单 分 配 算法 会 指派 离 道路 一 端 第 k 近 的 司机 接送 离 道路 同 
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imp k 近 的 乘客 。 

为 了 简单 起 见 ， 在 这 个 例子 中 只 考虑 一 个 指标 -司机 接 单 距离 作为 影响 司机 收益 的 因素 ， 其 中 
司机 接 单 距离 指 的 是 司机 由 其 初始 位 置 到 乘客 出 发 位 置 的 距离 。 

下 面 计算 在 此 模型 中 司机 接 单 距离 的 分 布 。 

首先 不 妨 假设 直线 道路 的 长 为 1， 则 离 道 路 一 端 第 k 近 的 司机 的 位 置 分 布 函数 即 均匀 分 布 的 
第 个 次 序 统 计量 的 分 布 fone) = (1) P- r) ARM Beta 分 布 B(k,n—k +1). 类似 
地 ， 离 道路 一 端 第 有 近 的 乘客 的 位 置 分 布 函数 go (x) 也 服从 相同 的 Beta 分 布 B(k,n —k +1). 

则 离 道路 一 端 第 k 近 的 司机 的 接 单 距离 满足 分 布 


hl =2 f foso- ade =2N (JF f eo) (GD s+)" Mae (1) 
而 对 于 一 个 司机 而 言 ,他 离 道 路 一 端 开始 计算 的 排序 是 随机 的 , 且 位 于 各 个 顺序 的 概率 均 相等 , 因 
此 他 的 接 单 距离 分 布 为 和 


ale) == > hay (2) (2) 


可 见 即使 是 没有 恶意 的 算法 , 在 理论 推导 下 , 也 势必 造成 小 部 分 的 司机 收益 与 其 他 司机 不 均等 , 这 
是 由 于 算法 的 随机 性 造成 的 。 

而 公平 的 算法 应 该 使 所 有 司机 的 收益 机 会 在 长 期 是 均等 的 。 而 通过 验证 算法 影响 司机 收入 的 
因素 均 是 来 自 同样 的 分 布 便 保 证 了 其 收益 的 机 会 的 公平 性 。 


3.1.2 ”可 检验 性 


前 节 的 讨论 中 假设 了 所 有 算法 不 可 控 的 因素 一 致 的 前 提 。 而 在 一 般 情况 中 ， 进 行 公平 性 检验 
过 前 需要 对 司机 进行 分 类 ， 以 保证 同类 别 中 的 司机 算法 不 可 控 的 因素 一 致 ， 再 检验 算法 对 各 类 司 
机 的 公平 性 。 

然而 ， 并 非 对 任何 指标 与 分 类 方法 总 有 办 潜 进 行 验证 。 直 观 而 言 ， 若 分 类 之 后 同类 司机 过 少 ， 
将 使 得 样本 数 不 足 ， 从 而 假设 检验 的 置信 和 度 低 ; 反之 ， 为 了 保证 一 个 类 别 中 的 司机 数量 够 多 可 能 
使 得 分 类 条 件 过 于 宽松 ， 从 而 导致 其 分 布 天 然 不 应 该 满足 公平 性 条 件 。 由 此 可 见 ， 如 何 判断 分 类 
是 否 合适 以 及 判断 是 否 存在 合适 的 分 类 是 一 个 重要 的 问题 ， 因 此 本 节 将 讨论 分 类 的 颗粒 度 及 指标 
的 可 验证 性 。 其 中 ， 颗 粒度 指 的 是 分 类 的 标准 ， 颗 粒度 大 是 分 类 宽松 ， 颗 粒度 小 是 分 类 严格 。 

为 了 严格 刻画 上 述 现象 ， 以 下 提出 颗粒 度 的 条 件 上 限 和 颗粒 度 的 样本 下 限 两 个 概念 : 


。 颗粒 度 的 条 件 O— ER Us: 给 定 的 6 下, 满足 对 任何 两 个 同类 的 司机 , 算法 不 可 控 的 因素 差 
距 不 超过 6 的 最 大 颗粒 度 。 


。 颗粒 度 的 样本 n— FR Ln: 给 定 的 n 下 ， 使 得 同类 司机 的 样本 数 不 小 于 n 的 最 小 颗粒 度 。 


对 于 一 个 指标 而 言 ， 只 有 当 Us > Ln 时 ， 其 公平 性 才 具 有 可 检验 性 。 如 图 1、2 所 示 ， 对 于 
具体 的 假设 检验 ， 不 同 深浅 的 蓝 色 样本 固定 颗粒 度 -p 值 曲 线 表 示 在 不 同样 本 数量 (n) 的 情况 下 ， 
分 类 颗粒 度 越 大 会 导致 算法 不 可 控 因 素 的 差距 越 大 ， 从 而 可 能 导致 假设 检验 中 的 p 值 较 大 ， 从 而 
可 能 使 结果 不 具 统 计 意义 。 而 绿色 的 实际 颗粒 度 -p 值 曲线 线 对 应 的 是 实际 情况 中 ， 分 类 颗粒 度 小 
可 能 导致 样本 量 小 ， 造 成 假设 检验 的 置信 度 低 ， 即 对 应 p 值 较 大 。 因 此 ， 对 于 给 定 的 p 值 ， 如 
0.05， 直 线 p = 0.05 和 实际 颗粒 度 -p 值 曲线 的 交点 对 应 的 颗粒 度 工 即 是 这 个 置信 度 要 求 下 的 样 
本 下 限 Ln, FOULED FL = Ly 将 会 导致 样本 过 少 而 使 结果 统计 意义 不 满足 要 求 。 同 时 ， 直 线 


p = 0.05 和 样本 固定 颗粒 度 -p 值 曲线 的 交点 对 应 的 颗粒 度 U 便 是 这 个 置信 和 度 要 求 下 的 条 件 上 限 
5， 寿 颗粒 度 大 于 U = Us 将 导致 类 别 中 司机 的 算法 不 可 控 条 件 差距 过 大 ， 无 法 通过 检验 。 

图 1 中, UV =U; =U > L= Ls， 因 此 对 应 的 情况 可 检验 ， 具体 而 言 ， 我们 可 以 选取 满足 
L<F<U 的 三 作为 检验 中 的 分 类 颗粒 度 。 而 图 2 中, U=U;=U<L=L,, Ania 
况 不 可 检验 ， 即 不 存在 合适 的 分 类 颗粒 度 使 得 检验 结果 具有 统计 意义 。 


图 1: 可 检验 示意 图 2: 不 可 检验 示意 


3.2 非 接触 式 信任 


非 接触 式 信任 的 目标 是 使 验证 方 在 不 用 接触 平台 企业 的 算法 和 数据 的 情况 下 信任 检验 结 
为 构建 非 接 触 式 信任 ， 我 们 在 前 述 公 平 性 检验 的 基础 上 引入 利用 加 密 承 诺 及 零 知 识 证 明 的 技术 构 
建 的 可 信 监 管 机 器 人 ， 在 保护 数据 安全 的 条 件 下 确保 检验 结果 正确 。 

直观 的 说 ， 可 信和 监管 机 器 人 由 和 平台 企业 和 验证 方 共同 设置 ， 此 设置 过 程 将 保证 双方 无 法 进行 
潜在 的 作弊 或 攻击 行为 ， 从 而 建立 信任 。 设 置 完成 后 ， 平 台 企业 在 需要 验证 时 将 数据 发 送 给 可 信 
针管 机 器 人 ,可 信 上 监管 机 器 人 基于 先前 的 设置 和 系统 记录 的 日 志 数 据 (包含 企业 机 密 及 用 户 隐 私 ) 
计算 验证 结果 并 生成 证 明 ， 并 将 结果 和 证 明 发 送 给 验证 者 ， 验 证 者 只 要 验证 证 明 便 能 够 确认 结 
的 正确 性 。 在 上 述 过 程 中 ， 平 台 企 业 和 验证 者 没有 直接 的 交互 ， 在 可 信 监 管 机 器 人 作为 公正 第 三 
方 的 帮助 下 建立 的 非 接 触 式 信任 ， 完 成 公平 性 验证 。 
具体 而 言 ， 前 述 公 平 性 检验 使 我 们 不 用 深入 算法 细节 便 能 验证 算法 公平 性 ， 保 护 了 平台 的 订 
单 分 配 算法 机 密 。 而 我 们 利用 加 密 承 诺 以 隐藏 具体 的 数据 ， 同 时 保证 了 平台 无 法 算 改 数据 ， 因 为 
加 密 承 诺 中 , 平台 计算 机 密 数 据 的 hash 值 并 将 其 公开 作为 承诺 , 奉 平 台 算 改 了 原始 数据 , 将 导致 
其 无 法 通过 承诺 的 验证 ， 从 而 验证 者 在 没有 见 到 数据 的 情况 下 可 以 相信 数据 的 真实 性 。 最 后 ， 我 
们 利用 零 知 识 证 明 保 证 验证 计算 结果 的 正确 性 。 零 知识 证 明 使 得 验证 者 可 以 在 无 法 获取 或 推导 出 
企业 机 密 及 用 户 隐私 的 情况 下 ， 通 过 验证 证 明 者 发 送 的 证 明 以 确认 公开 的 计算 结果 的 正确 性 。 
因此 ， 通 过 基于 统计 的 公平 性 检验 方法 、 加 密 承 诡 和 零 知 识 证 明 的 可 信 监 管 机 器 人 ， 我 们 便 
能 够 构建 平台 与 验证 者 直接 的 非 接触 式 信任 。 


4 非 侵入 式 的 算法 公平 性 检验 方法 
4.1 指标 选取 与 司机 分 类 


前 两 节 中 将 验证 订单 分 配 算法 公平 性 转化 成 计算 关于 指标 的 假设 检验 ， 本 节 讨 论 如 何 决定 具 
体 需要 检验 的 指标 ， 为 此 我 们 建立 一 个 指标 选取 的 方法 体系 ， 这 个 体系 以 确定 检验 环节 和 决定 具 
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以 调度 过 程 中 算法 会 影响 司机 获 利 机 会 的 节点 为 经 
订单 数量 《订单 距离 。 奖金 


ao | 非 算法 影响 的 影响 获 利 机 会 的 因素 为 

4 分 类 ， 如 : 车 的 类 型 

it 4 

E OEO 。 选取 合适 的 随机 变量 刻画 算法 中 的 了 

机 性 ， 分 析 理 论 分 布 。 

如 : T= 冲 单 奖 与 前 一 单 的 接 单 时 间 差 
假 

E og 。 ， 进 行 假设 检验 

为 痊 如 : Ho:T 有 偏 H1: 7 无 偏 

* 


Al 3: 指标 方法 论 


体 指标 两 步 为 经 纬 (图 3)， 具 体 来 说 ， 首 先是 
些 环节 需要 构建 指标 ， 然 后 则 是 在 具体 的 环节 
与 指标 。 


通过 梳理 网 约 车 平台 会 影响 个 人 各 利 的 节点 确定 哪 
通过 统计 建 模 刻画 随机 性 ， 并 设计 合适 的 假设 检验 


4.1.1 建立 个 人 僵 利 模型 


本 节 介 绍 指标 体系 的 “经 ”， 通 过 梳理 所 有 会 影响 个 人 色 利 的 节点 或 因素 来 建立 个 人 到 利 模 
型 ， 并 从 中 选择 网 约 车 平台 会 影响 的 部 分 确定 哪些 环节 需要 构建 指标 。 

个 人 盈利 模型 中 的 影响 因素 分 为 两 类 ， 一 类 是 算法 能 影响 到 获 利 机 会 的 因素 ， 男 一 类 是 算法 
不 能 影响 ， 但 是 需要 被 考虑 的 个 体 本 身分 类 。 

例如 ， 网 约 车 场景 下 ， 司 机 服务 的 订单 里 程 和 服务 时 段 都 会 影响 司机 收入 ， 订 单 里 程 直接 影 
啊 司 机 收入 ， 不 同时 段 乘客 发 出 订单 数量 不 同 ， 也 会 间接 影响 司机 收入 ， 例 如 通勤 高 峰 期 订单 量 
一 般 高 于 其 他 时 段 。 每 个 司机 服务 的 订单 里 程 是 网 约 车 平台 订单 分 配 算法 有 机 会 影响 的 部 分 ， 而 
司机 选择 在 什么 时 段 接 单 是 司机 个 人 意愿 ， 网 约 车 平台 算法 不 能 影响 。 


4.1.2 设置 分 类 并 选取 指标 

确定 了 检验 环节 后 ， 本 节 介 绍 指标 体系 的 “ 纬 "， 即 决定 具体 指标 。 

我 们 把 影响 因素 中 ， 算 法 无 法 影响 的 部 分 作为 分 类 维度 ， 可 以 影响 的 部 分 作为 指标 。 在 不 同 
分 类 维度 组 合 的 类 别 内 , 对 于 指标 选取 合适 的 随机 变量 刻画 算法 中 的 随机 性 , 并 分 析 理 论 分 布 , 然 
后 进行 假设 检验 。 

例如 网 约 车 场景 中 ， 司 机 的 接 单 等 待 时 间 (指标 ) 会 影响 司机 收入 ， 而 它 既 可 以 受 算法 影响 ， 
也 可 以 受 司机 的 服务 时 段 等 司机 个 体 选择 (分 类 维度 ) 影响 ， 所 以 在 选择 指标 的 时 候 ， 我 们 需要 
约束 分 类 维度 ， 在 分 类 维度 相同 的 情况 下 设计 指标 。 


4.2 基于 随机 性 的 公平 性 订单 分 配 假设 检验 构造 


在 前 述 例子 中 我 们 揭示 了 订单 分 配 的 结果 由 于 随机 性 会 造成 司机 收益 机 会 的 差异 。 因 此 ， 为 
了 证 明 算 法 的 公平 性 ， 我 们 构造 假设 检验 以 检验 司机 在 一 段 时 间 范 围 内 收益 机 会 的 差异 是 源 于 统 


数据 的 随机 性 

ICES 
公平 算法 下 
指标 长 期 分 布 


公平 的 算法 


一 致 : 实际 算法 公平 
RM: 实际 算法 不 公平 


图 4: 算法 公平 性 假设 检验 原理 


计 随 机 性 ， 即 算法 在 这 一 段 时 间 范 围 内 所 有 司机 的 收益 机 会 都 是 均等 的 。 我 们 延续 前 一 节 中 的 讨 
论 ， 以 对 某 个 指标 的 验证 为 例 。 

如 上 一 节 的 讨论 ， 对 于 一 个 指标 而 言 ， 由 于 算法 随机 性 ， 势 必 造 成 不 同 司机 在 一 轮 订单 分 配 
中 的 指标 取 值 有 所 差异 。 因 此 ， 我 们 需要 利用 统计 来 刻画 这 种 随机 性 。 假 设 在 公平 的 订单 分 配 算 
法 下 ， 同 类 司机 的 指标 取 值 在 每 一 轮 中 应 该 都 是 采样 于 同样 的 分 布 。 我 们 将 利用 这 个 分 布 来 检验 
算法 的 公平 性 。 具 体 而 言 ， 对 于 某 个 指标 ， 我 们 首先 求 出 这 个 指标 在 一 轮 订单 分 配 中 的 分 布 Ds, 
其 次 再 计算 多 轮 后 该 指标 均值 的 理论 分 布 D:， 并 通过 假设 检验 将 实际 分 布 D。 与 理论 分 布 Ds 比 
较 ， 从 而 验证 算法 公平 性 。 本 节 中 分 为 两 步 介 绍 构造 公平 性 订单 分 配 假设 检验 的 方法 。 


4.2.1 “指标 在 一 轮 订 单 分 配 中 的 分 布 
为 了 得 到 指标 在 一 轮 订单 分 配 中 服从 的 分 布 D。， 我 们 有 基于 理论 和 基于 数值 的 两 种 方法 : 


© 基于 理论 的 方法 : 如 果 假 设 订单 分 配 算法 足够 简单 , 或 可 以 将 实际 的 订单 分 配 算法 简化 为 足 
够 简单 的 算法 , 使 得 我 们 可 以 根据 司机 与 乘客 状态 的 分 布 理论 的 推导 出 在 订单 分 配 算法 下 指 
标的 分 布 。 例 如 上 面 的 例子 中 , 最 小 距离 订单 分 配 算 法 在 司机 与 乘客 的 状态 满足 特定 分 布 的 
青 况 下 就 可 以 由 理论 推导 指标 的 理论 分 布 。 


。 基于 数值 的 方法 : 在 订单 分 配 算法 或 司机 与 乘客 的 状态 分 布 较 复杂 的 情况 下 ,我 们 可 以 通过 
数值 方法 确认 指标 在 一 轮 订单 分 配 中 的 分 布 。 具体 而 言 , 我 们 可 以 选取 历史 上 一 个 足够 长 的 
时 间 和 窗口 , 将 这 个 指标 的 在 这 段 期 间 内 的 频次 作为 指标 在 一 轮 订单 分 配 中 的 分 布 。 直观 而 言 ， 
这 个 方法 也 可 以 视 为 对 某 个 司机 而 言 ， 每 一 轮 都 是 在 所 有 同类 司机 中 “抽样 ”。 


= 


4.2.2 多 轮 的 分 布 与 假设 检验 


直观 上 ， 在 确定 了 每 一 轮 的 分 布 之 后 ， 我 们 一 方面 由 理论 可 以 推 斯 多 轮 后 司机 指标 均值 的 分 
布 Pi ， 兄 一 方面 ， 我 们 可 以 由 实际 数据 得 到 指标 实际 的 分 布 D。。 因 此 我 们 可 以 通过 假设 检验 方 
法 检验 实际 的 分 布 是 否 与 理论 分 布 相符 。 在 订单 分 配 算法 公平 的 情况 下 ， 指 标的 实际 分 布 将 会 巾 
近 理论 分 布 ， 从 而 通过 假设 检验 ; 反之， 在 订单 分 配 算 法 不 公平 的 情况 下 ， 将 没有 理论 保证 实际 
分 布 贴近 理论 分 布 ， 除非 订单 分 配 算法 被 故意 地 “精心 设计 ”, 否则 不 公平 的 订单 分 配 算法 将 无 法 


通过 假设 检验 。 


为 了 使 得 检验 方法 具有 良好 的 通用 性 ， 我 们 利用 中 心 极限 定理 : 独立 同 分 布 及 方差 有 限 的 随 
机 变量 的 的 系列 均值 会 服从 正 态 分 布 。 我 们 根据 原始 分 布 的 期 望 和 方差 理论 推导 其 最 终 收敛 至 的 
正 态 分 布 ， 并 针对 多 轮 的 结果 检验 其 正 态 性 是 否 与 理论 相符 。 由 此 ， 我 们 对 于 不 同 分 布 的 检验 都 
可 以 被 约 化 为 正 态 性 检验 ， 从 而 大 幅 增加 了 此 方法 的 通用 性 。 


4.3 ”可 信和 监管 机 如 人 系统 设计 


基于 上 述 理 论 依据 ， 本 章 介 绍 用 以 分 析 、 检 验 和 证 明 网 约 车 订单 分 配 算法 公平 性 的 可 信 监 管 
机 器 人 系统 的 设计 。 首 先 介 绍 系统 中 的 各 个 参与 者 的 定位 ， 然 后 说 明 系 统 的 目标 ， 接 着 详细 介绍 
系统 的 运行 流程 ， 最 后 分 析 系 统 是 如 何 保证 目标 实现 的 。 


4.3.1 系统 参与 者 介绍 


系统 的 参与 者 包含 : 证 明 者 、 验 证 者 和 机 器 人 。 三 方 的 关系 是 ， 系 统 中 有 一 个 证 明 者 ， 和 一 
个 (或 一 些 ) 验证 者 ,在 双方 不 具备 信任 基础 的 前 提 下 ， 证 明 者 希望 向 验证 者 证 明 某 个 声明 正确 ; 
同样 的 验证 者 也 希望 验证 证 明 者 的 声明 正确 性 ; 可 信 系统 作 为 一 个 第 三 方 ( 数 字 机 器 人 ) 的 角色 
帮助 双方 构建 信任 。 
。 证 明 者 : 由 企业 担任 , 证 明 者 公开 声明 事项 , 例如 企业 作为 证 明 者 证 明 订 单 分 配 算法 的 公平 
性 ， 并 和 机 器 人 交互 提供 证 明 所 需 输入 。 
。 验 证 者 : 验证 者 可 以 是 主管 部 门 、 大 众 或 用 户 等 ， 验 证 者 共同 公开 监管 事项 ， 例 如 司机 作为 
验证 者 验证 企业 的 订单 分 配 算法 公平 性 , 通过 和 机 器 人 交互 得 到 证 明 者 的 数据 是 否 支 持 声 明 
正确 的 结论 Veo 


e 机 器 人 : 利用 非 对 称 加 密 技 术 构 建 的 可 信 的 监管 机 器 人 ， 其 内 部 使 用 了 多 方 安全 计算 、 零 知 
识 证 明 以 及 加 密 承 诺 技术 ， 其 角色 是 透明 的 第 三 方 ， 作 为 信任 提供 者 与 证 明 者 验证 者 交互 。 


4.3.2 系统 目标 
为 了 支持 算法 公平 性 验证 ， 监 管 机 器 人 的 系统 需要 满足 以 下 几 个 目标 : 
。 正确 性 : 正确 性 意味 结果 可 信 , 即 验证 者 在 与 系统 交互 后 , 信任 系统 得 出 的 通过 与 否 的 结 


。 SARE: 零 知 识 性 意味 过 程 中 系统 记录 的 日 志 数 据 (包含 企业 机 密 及 用 户 隐 私 ) 得 到 保护 ， 
即 验证 者 在 与 系统 交互 后 ， 无 法 得 出 或 推断 证 明 者 的 数据 。 
具体 而 言 ， 我 们 利用 非 对 称 加 秘技 术 以 实现 以 上 目标 ， 接 下 来 首先 介绍 ! 
流程 ， 再 说 明 这 个 系统 如 何 保证 正确 性 及 零 知 识 性 。 


ES 


管 机 器 人 系统 的 设计 与 


4.3.3 ”系统 流程 


系统 证 明 流 程 如 图 5 所 示 ，, 其 中 数据 承诺 为 加 密 承诺 技术 ,机 融 人 内 部 为 零 知 识 证 明 技术 ,本 
系统 使 用 Groth16 算法 ， 并 利用 Circom[2] 编写 电路 ， 下 面 对 各 个 步骤 分 别 介绍 : 

1. 电路 编写 

证 明 者 公开 声明 、 验 证 者 公开 监管 事项 之 后 ， 二 者 公开 假设 检验 方法 ,为 了 证 明 声 明正 确 性 ， 
即 证 明 可 以 通过 假设 检验 ， 需 要 把 假设 检验 的 代数 计算 表示 成 等 价 的 数字 电路 并 公开 ， 数 字 电 路 
作为 机 器 人 的 代数 电路 输入 。 图 6 展示 了 电路 的 两 数 相 乘 模块 例子 。 
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编译 电路 可 得 到 证 明 所 需 程序 ， 


图 5: 系统 流程 


ate Multiplier2() { 
Declaration of signals 

gnal input in1; 

gnal input in2; 

gnal output out <== inl * in2; 


图 6: 电路 编写 举例 


分 别 是 密 钥 对 和 Witness 依赖 ， 二 者 均 可 公开 。 密 钥 对 在 验 


证 证 明 时 使 用 ，Witness 依赖 证 明生 成 时 使 用 。 


2. 初始 设置 验证 者 可 以 通过 设 


置 可 信 种 子 以 保证 企业 证 明 过 程 中 没有 对 数据 和 计算 过 程 造 


假 ， 因 为 企业 不 知道 可 信 种 子 便 无 法 作假 ， 也 因此 可 信 种 子 需 要 对 验证 者 以 外 的 人 保密 。 


根据 可 信 种 子 和 密 钥 对 可 以 得 到 证 明 密 钥 和 验证 密 钥 ， 二 者 均 可 公开 。 证 明 密 钥 在 生成 证 明 


时 使 用 ， 验 证 密 钥 在 验证 证 明 时 使 用 。 


3. 生成 证 明 (Groth16 协议 ) 


证 明 者 向 机 器 人 输入 系统 记录 的 日 志 数 据 (包含 企业 机 密 及 用 户 隐私 ) 作为 机 器 人 的 数据 输 
入 ， 该 数据 只 J 证 明 者 和 机 器 人 可 见 。 
在 产生 底层 数据 的 时 候 还 要 对 对 数据 进行 加 密 承 诺 (数字 指纹 )， 即 计算 数据 的 承诺 值 ， 并 提 


交 给 机 器 人 ， 验 证 阶段 使 用 数据 时 ， 


计算 并 验证 数据 承诺 ， 如 果 一 致 即 可 证 明 数 据 没 有 受到 算 改 。 


同时 数据 承诺 为 单 向 的 ， 由 数据 可 以 计算 数据 承诺 ,但 是 反之 不 行 ， 所 以 这 一 步 也 不 会 泄露 隐私 。 


该 数据 是 公开 的 。 


另外 还 可 以 输入 一 些 可 以 公开 的 数据 ， 作 为 机 器 人 的 公开 输入 。 

根据 证 明 者 的 数据 输入 和 编译 电路 得 到 的 witness 依赖 ， 得 到 witness, witness 是 零 知 识 证 
明 中 证 明 者 数据 的 见证 者 ， 一 组 数据 对 应 一 个 witness, M witness 中 可 以 知道 证 明 者 数据 ， 是 零 
知识 证 明 需 要 的 输入 形式 ， 该 数据 验证 者 不 可 见 。 


根据 证 明 密 钥 和 witness， 可 以 


生成 证 明 , 这 一 步 可 以 保证 企业 的 数据 不 公开 ,但 透明 ， 即 这 


个 证 明 已 经 可 以 公开 了 ， 不 会 泄露 证 明 者 系统 记录 的 日 志 数 据 (包含 企业 机 密 及 用 户 隐 私 )。 


4. 验证 证 明 (Groth16 协议 ) 


使 用 验证 密 钥 去 验证 证 明 ， 即 可 得 到 证 明 结 果 。 如 果 通 过 证 明 ， 就 表示 证 明 者 提供 的 数据 通 


mu á a 
wA = 
o o 9 


pc ee 
打开 司机 端 app hf s 车 fase 接 单 hese 接 到 乘客 ae 送 达 > = Hf x 


订单 开 乘 客 端 app Te 发 出 订单 J 被 应 答 = 司机 到 达 Lie 到 目的 地 > 订单 完成 


hs 7> onna = D s tyme) rr 

ree a) 局 eee nE 
Pz 5 ; :人 是 
ee =. v - bd 

aan ` 7 

=e ens oe a < 

irc © a : : tet 
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图 7: 司机 和 乘客 视角 下 派 单 流程 
过 了 声明 的 假设 检验 。 


4.3.4 系统 分 析 
本 节 分 析 上 述 监 管 机 器 人 系统 如 何 保证 正确 性 及 零 知识 
。 正确 性 : 结果 的 正确 性 由 数据 的 真实 性 和 计算 过 程 的 正确 性 保证 。 数据 的 真实 性 意味 着 证 明 
者 输入 的 数据 真实 ， 从 而 证 明 者 无 法 通过 输入 不 真实 的 数据 造假 。 这 由 加 密 承 诺 保 证 ， 
。 零 知识 性 : 零 知 识 证 明 保 证 了 通过 验证 证 明 ,， 验 证 者 只 能 得 知 关 于 计算 结果 的 信息 ， 而 无 法 
获取 或 推导 出 企业 机 密 及 用 户 隐私 ， 这 便 保 障 了 此 系统 的 零 知 识 性 。 


5 ”实现 案例 


基于 理论 依据 和 系统 设计 方法 ， 本 章 以 一 个 网 约 车 场景 的 具体 实现 案例 为 例 ， 首 先 介 绍 司机 
个 人 到 利 模型 的 建 模 思路 和 模型 ， 然 后 介绍 一 个 具体 指标 的 选取 、 分 布 ， 以 及 假设 检验 方法 ， 最 
后 介绍 证 明 系 统 在 该 指标 上 的 结果 与 表现 。 


5.1 一 个 简单 的 个 人 恒利 模型 


在 网 约 车 场景 eee 
图 中 以 滴 滴 出 行为 例 展 示 了 司机 端 和 乘客 端 

司机 打开 司机 端 app 后 ， ee 等 接 单 ， 在 接 到 订单 之 前 ， 司 机 会 按照 喜 
好 游 走 或 者 停车 等 待 。 网 约 车 平台 算法 为 司机 找到 订单 ( 即 司机 接 到 订单 ) 后 ,司机 首先 去 接 轰 
即 从 目前 位 置 去 乘客 上 车 点 接 乘 客 。 接 到 乘客 后 ， 司 机 开始 送 驾 ， 即 从 乘客 上 车 点 送 乘客 去 乘客 
目的 地 ， 同 时 开始 计 费 。 送 达 乘 客 到 目的 地 后 司机 完成 订单 ， 同 时 结束 计 费 。 完 成 订单 后 司机 继 
续 选 择 等 待 下 一 单 ， 或 者 收 车 ， 即 不 再 等 待 接 单 。 
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订单 数 
= 服务 时 长 / (等待 时 间 订单 平均 里 程 平均 每 公里 司机 收入 
+ 接送 时 间 ) 
+ 接 单 时 段 。 订单 平均 里 程 。 订单 平均 里 程 
+ RARR 车 型 
* 服务 时 长 
+ 接 单 等 待 时 长 
+ 订单 接 名 距离 
*_ 订 单 送 各 距离 


图 8: 收入 建 模 


乘客 侧 流 程 类 似 , 乘客 打开 乘客 端 app Ja, 输入 上 车 点 和 目的 地 等 信息 后 ， 点击 “确认 呼叫 ” 
即 发 出 订单 。 网 约 车 平台 算法 为 订单 找到 司机 ( 即 订单 被 应 答 ) 后 ， 乘 客 等 待 司机 接 鸭 。 乘 客 被 
接 到 后 ， 司 机 送 其 去 目的 地 。 到 达 目 的 地 后 订单 完成 。 

所 以 司机 的 收入 可 以 建 模 为 如 下 公式 : 


司机 收入 = 订单 数 * 订单 平均 里 程 * 平 均 每 公里 司机 收入 
= f( 接 单 时 段 , 接 单 区 域 ,服务 时 长 , 接 单 等 单 时 长 , 接 驾 距离 , 送 驾 距离 , .…) 
* 订单 平均 里 程 
x g( 订 单 平均 里 程 ,车 型 ,…) 
其 中 ， 服 务 时 长 为 司机 出 车 服务 的 总 时 长 。 


5.2 选取 指标 的 分 布 ， 假 设 检验 结 采 


司机 收入 模型 中 (图 8)， 影 响 司机 收入 的 因素 可 以 分 成 两 类 , 一 类 (红色 ) 是 派 单 系统 无 法 
影响 的 ， 比 如 接 单 时 段 、 接 单 区 域 、 服 务 时 长 和 车 型 ; 一 类 (绿色 ) 是 派 单 系统 可 以 影响 的 ， 比 
如 等 单 时 长 、 接 驾 时 长 、 送 驾 时 长 和 订单 平均 里 程 。 

我 们 把 派 单 系统 无 法 影响 的 部 分 作为 分 类 维度 ， 可 以 影响 的 部 分 作为 指标 。 比 如 ， 根 据 接 单 
时 段 、 接 单 区 域 、 服 务 时 长 和 车 型 等 对 司机 进行 分 类 ， 对 同 分 类 司机 的 人 均 接 加 距离 进行 假设 检 
验 。 

假设 订单 维度 ( 即 每 个 样本 是 一 个 订单 ) EBS pdo 服从 9 分 布 ，pd。 ~ g, 我们 定义 单个 
司机 的 平均 接 驾 距离 apd. 就 是 每 个 司机 c 服务 的 ze 个 订单 的 接 驾 距离 的 平均 值 。 
Xic pdi 
Te A 

如 果 派 单 系统 不 干预 同 分 类 司机 的 接 驾 距离 ， 则 pdo 的 分 布 与 司机 个 体 独立 ， 在 所 有 司机 中 
的 分 布 均 为 g。 那么 , 每 个 司机 c 的 apd. 就 是 一 次 对 pdo 的 采样 的 均值 ,根据 中 心 极限 定理 ， 如 
果 pdo 独立 同 分 布 ， 且 具有 期 望 u= B(pdo)、 方 差 o2 = D(pdo) > 0ze 足够 大 的 时 候 ，apdc 服 
从 正 态 分 布 。 


apd, = 


o2 
apd, oa N(u, a (5) 


所 以 证 明 思 路 为 : QUA SASF Bi] 228 FL Pes BS, 那么 分 类 因素 确定 时 , HE 
单数 ze 足够 大 (大 于 A) 的 n 个 司机 cset = {c | ze > A} 的 平均 接 驾 距离 服从 正 态 分 布 。 需 要 
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图 9: 某 分 类 因素 下 ， 标 准 化 后 司机 平均 接 驾 距离 分 布 


注意 ， 这 里 需要 对 平均 接 驾 距离 标准 化 ， 因 为 apd. 的 方差 与 ze 相关 ， 不 同 ze 的 司机 的 平均 接 
各 距离 服从 不 同 的 分 布 。 标 准 化 计算 公式 如 下 。 


apd. — [L 
O| Te 
某 些 分 类 因素 约束 下 ， 标 准 化 后 司机 平均 接 驾 距离 分 布 如 图 9 所 示 。 
证 明 司 机 平均 接 驾 距离 服从 正 态 分 布 ， 本 文采 用 偏 度 - 峰 度 检验 法 ， 正 态 分 布 的 偏 度 bs AE 
JE k WEF 0。 
= 检验 时 ， 假 设 为 Ho: bs = 0,Hy : bs #0, 偏 度 检验 统计 量 bs = m37? 峰 度 检验 统计 量 


napd, = 


(6) 


k= 4 — 3, 其 中 mi = tD ocoser(napde — napde)’, 在 a 的 置信 度 下 ， 以 下 条 件 满足 时 不 能 拒绝 
无 偏 。 
~ 6(n — 2) 
[bs] < (n 1)(n 3) Z1—a/2 


> 6 24n(n — 2)(n — 3) 
et a la + 1)2(n+3)(n+5) °°? 


其 中 21-02 查 标准 正 态 分 布 表 可 得 
本 例 中 ， 算 法 不 可 控 的 因素 差距 为 5%, 同类 司机 的 样本 为 1.3k， 满 足 可 检验 性 。 


5.3 证 明 系 统 结果 与 表现 


本 例 中 ， 把 证 明 拆 分 成 四 个 电路 ， 如 图 10 所 示 。 其 中 ， 预 处 理 电路 验证 从 原始 数据 到 电路 输 
人 数据 的 预 处 理 过 程 ， 包 括 从 订单 维度 信息 聚合 成 司机 维度 信息 、 标 准 化 、 电 路 必须 的 放 缩 取 整 。 
偏 度 检 验 和 峰 度 检 验 分 别 对 电路 输入 数据 进行 偏 度 检 验 和 峰 度 检 验 。 加 密 承 诺 电 路 验证 原始 数据 
的 加 密 承 诺 过 程 。 

以 偏 度 检验 电路 为 例 ， 证 明 系统 流程 图 如 图 11 所 示 ， 其 中 bs_test.circom 文件 为 证 明 电 路 ， 
该 实例 中 大 小 为 4KB, bs_test.rles 为 编译 电路 产物 之 一 , 1.4MB proof.json 为 证 明文 件 ，4KB， 
输入 数据 量 为 Uk+ 的 时 候 ， 运 行 时 间 为 6 分 钟 。 
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电路 1 : 预 处 理 电路 2 : 偏 度 检验 电路 3 : 峰 度 检验 ”| 电路 4 : 加 密 承诺 


输入 : 输入 : 输入 : 输入 : 
pdo, apde, Xc, xe 4,0, napde, A, napde, Z Zz Z apd, h 


证 : 验证 : 验证 : 
偏 度 检 验 通过 峰 度 检验 通过 h = hash(apd,) 


Vie +1 > LNE -1< x, 
了 计算 
z 计 算 


Hh, x ATMMGAMnapd, BARE y ,z=y-7 ，h 是 数据 产生 时 计算 的 承诺 值 


图 10: 证 明 电 路 划分 


bs_test.circom 


aw pot12_0000.ptau 


0 input.json © generate_witness.js bs_test.rics pot12_0001.ptau 


<— pot12_final.ptau 


witness.wtns bs_test_0000.zkey 
bs_test_0001.zkey 


u proof.json o verification_key.json 
o public.json 


|[INFO] snarkJS: OK! 


图 11: 证 明 系 统 流程 图 
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6 


结论 
我 们 提出 的 基于 统计 的 算法 公平 性 检验 方法 可 以 有 效 解决 算法 的 信任 构建 问题 ， 通 过 我 们 提 


出 的 验证 方法 检验 算法 的 公平 性 ， 并 通过 多 方 参与 的 安全 计算 验证 确保 结果 可 信 。 


本 方法 具有 非 接触 式 的 特性 ， 验 证 者 无 需 深 入 算法 细节 、 不 用 知道 系统 记录 的 日 志 数 据 ( 包 


含 企业 机 密 及 用 户 隐 私 )， 便 能 完成 算法 公平 性 的 验证 。 在 非 接触 式 的 前 提 下 ， 利 用 零 知识 证 明 技 


术 确保 结果 可 信 ， 完 成 非 接触 式 信 任 的 构建 。 此 外 ， 通 过 统计 建 模 公 平 性 而 非 逐 步 验证 算法 计算 
细节 ， 我 们 大 幅 降 低 了 验证 所 需 的 计算 与 时 间 成 本 ， 在 实验 中 ， 我 们 也 能 高 效 的 完成 公平 性 的 检 


验 、 


证 明 与 验证 。 
本 文 提 出 的 方法 也 是 一 个 重要 的 模式 创新 ， 通 过 基于 密码 学 的 机 器 人 作为 可 信 第 三 方 ， 帮 助 


企业 与 主管 部 门 和 公众 构建 信任 。 这 样 的 模式 未 来 可 以 扩展 至 更 多 类 似 的 场景 中 ， 帮 助 更 多 算法 


实现 可 验 不 可 见 、 透 明 但 不 公开 的 非 接触 式 信任 。 


值得 一 提 的 是 ， 目 前 的 检验 体系 利用 基于 假设 检验 的 方法 大 幅 降 低 计算 与 验证 的 成 本 ， 因 此 


通过 此 公平 性 检验 仅 是 算法 公平 的 必要 条 件 ， 即 我 们 保证 公平 的 算法 能 够 通过 检验 ， 而 对 于 不 公 
平 的 算法 ， 我 们 认为 在 极端 情况 下 ， 若 是 被 精心 设计 ， 也 可 能 通过 本 文中 的 公平 性 检验 。 后 续 研 
究 中 可 以 通过 添加 更 多 必要 条 件 的 验证 以 进一步 加 强 识别 不 公平 算法 的 准确 率 。 


参考 文献 


[1] BACCIARELLI, A. The toronto declaration: Protecting the right to equality and non- 


discrimination in machine learning systems. 


[2] BELLES-MuNoz, M., ISABEL, M., MuNoz-Tapia, J. L., RUBIO, A., AND BAYLINA, J. 


Circom: A circuit description language for building zero-knowledge applications. IEEE 


Transactions on Dependable and Secure Computing (2022). 


CHOULDECHOVA, A. Fair prediction with disparate impact: A study of bias in recidivism 
prediction instruments. Big data 5, 2 (2017), 153-163. 


CORBETT-DAVIES, S., PIERSON, E., FELLER, A., GOEL, S., AND Huq, A. Algorithmic 
decision making and the cost of fairness. In Proceedings of the 23rd acm sigkdd international 


conference on knowledge discovery and data mining (2017), pp. 797-806. 


GUIDOTTI, R., MONREALE, A., RUGGIERI, S., TURINI, F., GIANNOTTI, F., AND 
PEDRESCHI, D. A survey of methods for explaining black box models. ACM computing 
surveys (CSUR) 51, 5 (2018), 1-42. 


KILBERTUS, N., GASCÓN, A., KUSNER, M., VEALE, M., GUMMADI, K., AND WELLER, 
A. Blind justice: Fairness with encrypted sensitive attributes. In International Conference 
on Machine Learning (2018), PMLR, pp. 2630-2639. 


PANIGUTTI, C., PEROTTI, A., PANISSON, A., BAJARDI, P., AND PEDRESCHI, D. Fairlens: 
Auditing black-box clinical decision support systems. Information Processing & Management 
58, 5 (2021), 102657. 


14 


[8] 


[10] 


[11 


[12 


[14] 


[16] 


PARK, S., KIM, S., AND LIM, Y.-S. Fairness audit of machine learning models with 
confidential computing. In Proceedings of the ACM Web Conference 2022 (2022), pp. 3488- 
3499. 


SEGAL, S., ADI, Y., PINKAS, B., BAUM, C., GANESH, C., AND KESHET, J. Fairness 
in the eyes of the data: Certifying machine-learning models. In Proceedings of the 2021 
AAAI/ACM Conference on AI, Ethics, and Society (2021), pp. 926-935. 


SIAU, K., AND WANG, W. Building trust in artificial intelligence, machine learning, and 
robotics. Cutter business technology journal 31, 2 (2018), 47-53. 


TOREINI, E., AITKEN, M., COOPAMOOTOO, K., ELLIOTT, K., ZELAYA, C. G., AND 
VAN MOORSEL, A. The relationship between trust in ai and trustworthy machine learning 
technologies. In Proceedings of the 2020 conference on fairness, accountability, and 
transparency (2020), pp. 272-283. 


TOREINI, E., MEHRNEZHAD, M., AND VAN MOORSEL, A. Fairness as a service (faas): 
verifiable and privacy-preserving fairness auditing of machine learning systems. International 
Journal of Information Security (2023), 1-17. 


VEALE, M., AND BINNS, R. Fairer machine learning in the real world: Mitigating 
discrimination without collecting sensitive data. Big Data & Society 4, 2 (2017), 
2053951717743530. 


WANG, G., ZHONG, S., WANG, S., Miao, F., DONG, Z., AND ZHANG, D. Data-driven 
fairness-aware vehicle displacement for large-scale electric taxi fleets. In 2021 IEEE 37th 
International Conference on Data Engineering (ICDE) (2021), IEEE, pp. 1200-1211. 


WANG, T., RUDIN, C., DOSHI-VELEZ, F., Liu, Y., KLAMPFL, E., AND MACNEILLE, P. 
A bayesian framework for learning rule sets for interpretable classification. The Journal of 
Machine Learning Research 18, 1 (2017), 2357-2393. 


ZHANG, Y., ZHOU, Y., Hu, Y., AND HUANG, H. A decentralized ride-hailing mode based 
on blockchain and attribute encryption. In International Symposium on Cyberspace Safety 
and Security (2022), Springer, pp. 301-313. 


15 


